Korean Ransomware
Korean Talk Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название неизвестно.
К зашифрованным файлам добавляется расширение .암호화됨 (т.е. "Зашифровано" на русском или "Encrypted" на английском).
Ориентирован на корейских пользователей.
© Hidden Tear >> Korean Ransomware
Записки с требованием выкупа называются: ReadMe.txt и скринлок на экране. Перевод автора блога.
Содержание записки:
당신 의 파일 이 암호화 되었습니다. zMUTnnIOp/Ns&3G[Password]
Перевод текста из записки на русский:
Ваши файлы были зашифрованы. zMUTnnIOp/Ns&3G[Password]
1-й экран (для уведомления)
2-й экран (для проведения оплаты)
Содержание текста с 1-го экрана:
당신의 파일이 암호화 되었습니다.
토르 브라우저틑 다운로드하고
xxxx://www.torproject.org/projects/torbrowser.html.en
xxxx://t352fwt225ao5mom.onion
당신의 이툴 입력하써요 그후
절 에 프로에스튠 진행하십 시요
Ваши файлы были зашифрованы.
Загрузите и установите Tor-браузер
http://www.torproject.org/projects/torbrowser.html.en
http://t352fwt225ao5mom.onion
Откройте и введите ваш ID-код
Следуйте инструкциям на сайте.
Ваши файлы были зашифрованы.
Перейти по адресу для оплаты
xxxx://2dasasfwt225dfs5mom.onion.city
Проверьте информацию для дешифрования.
Вернуться на сайт дешифрования.
Требуется Tor-браузер.
На сайте t352fwt225ao5mom.onion можно выбрать язык интерфейса из 25 языков (русского нет). Напоминает сервис дешифровки от CrypMIC, видимо ему и подражает. Корейские версии CryptoLocker и Radamant, в том числе и подражательские, в прошлом году были наиболее распространенными крипто-вымогателями для корейских пользователей.
Как можно увидеть из надписи на сайте, этот "Decryption service" вымогателей работает уже 2 месяца.
Распространяется с помощью email-спама и вредоносных вложений.
Список файловых расширений, подвергающихся шифрованию:
Как минимум для вымогателей на основе Hidden Tear:
.asp, .aspx, .bat, .bmp, .csv, .doc, .docx, .html, .hwp, .java, .jpg, .kys, .mdb, .mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rtf, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml, .zip, (30 расширений).
Файлы, связанные с Ransomware:
ReadMe.txt
<random>.exe
Расположения:
C:\Users\User_Name\Desktop\ReadMe.txt
Сетевые подключения и связи:
Email: powerhacker03@hotmail.com
xxxx://www.torproject.org/projects/torbrowser.html.en
xxxx://t352fwt225ao5mom.onion
xxxx://2dasasfwt225dfs5mom.onion.city
Результаты анализов:
Детект на VirusTotal >>
Степень распространённости: низкая (только для одной страны).
Подробные сведения собираются.
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.